见之于未萌,识之于未发:建设网络安全应急处置最后防线
《网络安全法》(以下称“《网安法》”)第五十七条首次明确,因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》《中华人民共和国安全生产法》等有关法律、行政法规的规定处置,体现出对网络安全的重视。但网络安全事件与传统公共安全事件有很大不同,突出体现在以下四个方面(见下表1):
表1:网络安全事件特点
扩散速度快,影响范围大 | 信息网络的无边界性使得网络安全事件不再因为地域阻碍而局限于某一地区,而是通过网络迅速扩散,产生多方广泛的影响。例如,2017年5月12日,“勒索病毒”首先在英国爆发,两天内就席卷了150个国家,涵盖政府部门以及医院、教育、能源、通信、制造业等领域。 |
级联效应明显 | 互联网的存在加强了国民经济各行各业之间的依赖性,网络安全事件往往容易产生“雪崩”式连锁反应,对不同部门、不同企业甚至不同产业领域都有严重损害。 |
隐蔽性强 | 网络安全攻击在初始阶段,与正常网络运行的界限模糊,可能很难对其进行分辨。 |
风险的源头日趋多元化 | 从已发生的网络攻击事件看,引发网络安全事件的团体不仅有非政府组织背景,政府背景的攻击团队也不在少数。而且随着信息网络技术的发展,越来越多的非专业人士,仅凭个人兴趣与网络开源软件的帮助,就可以自学成为黑客。 |
面对日趋复杂的网络安全环境,如何为数字经济的发展提供稳定的网络安全环境,成为《网安法》及其系列配套措施的关注焦点。《网安法》旨在从制度上积极推动企业和社会组织进行网络安全治理,严格监管企业、社会组织履行法律规定的网络安全保护义务。《网安法》第二十五条和第五十二条分别给网络运营者和相关工作部门提出要求:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案。随着《国家网络安全事件应急预案》《公共互联网网络安全突发事件应急预案》(以下称“《互联网应急预案》”)《公安机关互联网安全监督检查规定》等配套文件对应急处置制度的具体细化,为互联网企业的合规指明了方向。
一、 合规责任主体
以静态与动态为划分标准,可以将网络安全应急处置制度分成制度内容建设和实践组织演练两个阶段。《网安法》分别在第二十五条和第三十四条规定了一般网络运营者与关键信息基础设施的运营者都应当制定网络安全事件应急预案。值得注意的是,在第三十四条第四项还明确提出“并定期进行演练”,即关键信息基础设施的运营者具有定期组织内部相关人员进行应急响应培训和应急演练的法律义务,而对一般网络运营者却无此强制性规定。然而,这并不意味着一般网络运营者仅有制定网络安全应急方案的法律强制义务,却无进行应急演练强制要求。
《互联网应急预案》“7.2 应急演练”要求电信主管部门和基础电信企业、大型互联网企业、域名机构都应当组织开展网络安全应急演练,其中基础电信企业、大型互联网企业、域名机构的应急演练情况还需要向电信主管部门报告。2018年6月公安部发布的《网络安全等级保护条例(征求意见稿)》(以下简称“《等保条例》”)第三十二条提出,第三级以上网络的运营者应当定期开展网络安全应急演练。依据《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)的定义解释,“第三级以上网络的运营者”即为信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的网络运营主体。较之《网安法》将关键信息基础设施运营者定义为国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络经营主体,《等保条例》要求只要是对国家安全造成损害的网络运营者就应当定期开展安全演练,而不要求损害达到网安法规定的“严重危害”程度, 即《等保条例》对应当定期组织应急演练的主体外延进行了扩张。《个人信息安全规范》“9.1 安全事件应急处置和报告”中对个人信息控制者应急演练的要求,进一步将进行演练的主体扩大到所有“个人信息控制者”,《个人信息安全保护指引( 征求意见稿)》(以下称“《保护指引》”)更是在此基础上增加了对“个人信息处理者”的要求。
综上,网络安全应急处置制度的主体可以归纳如下表2所示:
表2:网络安全应急处置制度责任主体
责任主体 | 相关依据 | |
网络安全应急处置制度内容建设主体 | 在境内建设、运营、维护和使用网络,以及网络安全的监督管理的所有网络运营、营者,即包括一般网络运营者和关键信息基础设施的运营者 | 《网络安全法》第二十五条、第三十四条 |
强制定期进行网络安全应急演练的主体 | 关键信息基础设施的运营者 | 《网络安全法》第三十四条第四项 |
电信主管部门和基础电信企业、大型互联网企业、域名机构 | 《公共互联网网络安全突发事件应急预案》“7.2 应急演练” | |
第三级以上网络的运营者 | 《网络安全等级保护条例(征求意见稿)》第三十二条 | |
个人信息控制者 | 《个人信息安全规范》“9.1 安全事件应急处置和报告” | |
个人信息处理者 | 《个人信息安全保护指引( 征求意见稿)》“6.8 应急处置” |
二、 应急处置的法律义务
(一)事前准备
1. 制定网络安全事件应急预案
《网安法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,在发生危害网络安全的事件时,立即启动应急预案。网络运营者应当及时制定网络安全事件应急预案,参照《互联网应急预案》对事件分级、监测预警、事件监测、预警监测、预警分级、预警发布、预警响应、预警解除、应急处置、响应分级等内容结构对本公司的网络安全事件应急预案进行完善和制定。需要注意,涉及对个人信息控制和处理的网络运营者网络安全事件应急预案中还应当包括对个人信息安全事件的处置方案,即预案应当有安全事件应急处置和报告,安全事件告知的内容。
2. 开展网络安全认证、检测、风险评估等活动
《网安法》第二十六条要求网络运营者应当开展网络安全认证、检测、风险评估等运动,并及时向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息。此外,《网安法》还要求网络运营者发现自身网络安全风险的应当按照省级以上人民政府有关部门要求采取措施,进行整改,消除隐患。较一般网络运营者而言,关键信息基础设施的运营者在应急处置中还应配合有关部门抽查检测整改,接受对安全风险进行检测评估。
3. 定期进行网络安全应急演练
网络安全应急演练是将制度理论应用到实践,切实提升网络运营者应急组织机制的整体写透和应急处置能力的重要途径。表1中的网络运营者应当在内部应急预案制度规范中明确公司开展应急演练的时间,组织内部相关人员进行应急响应培训和应急演练。网络安全应急演练需注意,开展次数的规定应不少于法律法规要求的每年开展次数的最低要求,例如,关键信息设施的运营者每年开展不得少于一次,个人信息控制者至少每年一次组织进行应急演练,并保留相关记录。
(二)事中应对
《网安法》第二十五条第二款规定,网络运营者在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。这是对《突发事件应对法》第二十二条的细化与延伸。根据《互联网应急预案》“5.5决策部署”中关于信息发布的要求,网络运营者负有及时向社会发布与公众有关的警示信息的义务。此外,依据《个人信息安全规范》,对涉及个人信息泄露的网络安全事件,网络运营者还应当向受影响的个人信息主体告知事件的相关情况。此外,根据《网安法》第五十四条,省级以上人民政府有关部门才有向社会发布网络安全风险预警的权限,网络运营者并无网络安全预警的发布权限,当发生网络安全事件时应当及时向有关主管部门报告。综上,网络运营者在网络安全事件发生时,需要采取以下应对措施:
(1)立即启动应急预案,采取相应的补救措施,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大;
(2)及时向社会发布与公众有关的警示信息;
(3)按照规定向有关主管部门报告。
(三)事后处理
在网络安全事件的威胁和危害得到控制或消除后,根据《互联网应急预案》,公共互联网网络安全突发事件应急响应结束后,事发单位要及时调查突发事件的起因(包括直接原因和间接原因)、经过、责任,评估突发事件造成的影响和损失,总结突发事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急响应结束后10个工作日内形成总结报告,报电信主管部门。电信主管部门汇总并研究后,在应急响应结束后20个工作日内形成报告,按程序上报。《保护指引》要求涉及个人信息的网络安全事件,还应当将事件影响如实告知个人信息主体。
三、 应急处置的法律责任
(一) 行政责任
《网安法》对于网络安全应急处置的法律责任的规定,集中在第五十七条、第五十九条、第六十二条、第六十九条(见下表3):
表3:违反网络安全应急处置规定的行政责任
条目 | 详细内容 |
第五十七条 | 因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。 |
第五十九条 | 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 |
第六十二条 | 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。 |
第六十九条 | 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款: (一) 不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的; (二) 拒绝、阻碍有关部门依法实施的监督检查的; (三) 拒不向公安机关、国家安全机关提供技术支持和协助的。 |
综上,网络安全应急处置的法律责任主体可以分为企业与直接负责的主管人员和其他直接责任人员,并分别采取不同行政处罚措施:(1)对企业:责令改正,给予警告,罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等;(2)对直接负责的主管人员和其他直接责任人员:罚款。
(二) 刑事责任
依据《刑法》第二百八十六条,不履行信息网络安全管理义务罪。造成违法信息大量传播、用户信息泄漏,造成严重后果的。处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。根据《刑法》该条的第二款的规定,单位犯罪的,除对单位判处罚金外,对其直接负责的主管人员和其他直接责任人员,也按照前款的规定处罚,即责任到人。
四、 小结
即将结束的2018年里,人工智能、5G、虚拟现实等新兴技术的发展推动信息网络服务和产品更新换代,与此同时,网络技术的发展也使得网络安全事件发生的风险源形态多元、网络攻击手段形态变换加速,数据安全问题日益突出。提前进行完善的准备以应对突发的网络安全事件,见之于未萌,识之于未发,已经成为网络运营者切实履行网络安全保护义务的重要组成部分。
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
